web-dev-qa-db-fra.com

Un module complémentaire malveillant peut-il accéder à l'historique Internet et autres dans Chrome / Firefox?

Comment Chrome/Firefox s'assure-t-il que les modules complémentaires sont sûrs? Ont-ils une protection contre un module complémentaire malveillant?

Quel accès les modules complémentaires peuvent-ils avoir? Peuvent-ils accéder à l'historique Internet ou même à des cookies et autres et les envoyer à un serveur? Dois-je m'inquiéter à ce sujet?

J'ai des modules complémentaires Kaspersky et Kaspersky, mais je me demande toujours si je dois toujours me préoccuper des modules complémentaires? Étant donné que je ne peux rien faire pour m'assurer que certains modules complémentaires sont malveillants ou non, même s'ils ont toujours une bonne réputation.

EDIT: question bonus, si un addon dit qu'il peut lire les données sur les sites Web que vous visitez, cela signifie-t-il qu'il peut savoir quels sites Web je visite et peut techniquement les envoyer à un serveur et enregistrer mon historique de cette façon? (étant donné que de nombreux adblockers et ces addons ont cette autorisation)

19
Mery Ted

Les extensions de navigateur modernes utilisent WebExtensions API , qui applique un modèle d'autorisation; Fondamentalement, les modules complémentaires ne peuvent avoir que l'accès que vous leur accordez (vous ne pouvez cependant pas rejeter les autorisations individuelles; si vous n'êtes pas à l'aise avec certains, vous ne pouvez pas installer le module complémentaire).

Concernant vos questions spécifiques:

  • L'historique du navigateur ne peut être demandé que si l'autorisation history est accordée.
  • L'autorisation cookiesne fonctionne que avec un Host permission qui définira les cookies accessibles. Les autorisations d'hôte sont requises pour toutes les actions sensibles (telles que l'injection de JavaScript dans une page, la lecture du contenu d'une page, etc.).

Les extensions malveillantes peuvent bien sûr exécuter du JavaScript arbitraire dans un contexte isolé, donc quelque chose comme un cryptominer malveillant est certainement faisable.

Pour l'accès qui ne nécessite pas d'autorisations explicites, voir ma question connexe: Danger d'extension du navigateur sans aucune autorisation? .

26
tim

comment chrome/firefox s'assure-t-il que les addons sont sûrs?

Ils les inspectent avant de publier et interdisent à ceux qui ont été jugés d'avoir violé ses droits. Mais cette interdiction peut prendre de quelques jours à plusieurs semaines.

quel accès les addons peuvent-ils avoir?

Les extensions peuvent faire tout ce que vous pouvez, et plus encore. Ils peuvent accéder à n'importe quel serveur, lire n'importe quel cookie, modifier toutes les données, même cryptées par HTTPS, et envoyer des données n'importe où. Ils doivent demander votre permission lors de l'installation, mais une fois que vous avez donné la permission, par exemple, de lire les données sur tous les sites Web, l'addon peut lire les données sur tous les sites Web que vous visitez.

dois-je encore m'inquiéter des extensions?

Oui tu devrais. Si vous utilisez un addon qui a été abandonné et que le propriétaire l'a vendu à quelqu'un d'autre, il y a de fortes chances que le nouveau propriétaire fasse quelque chose de méchant .

Que faites vous? N'installez pas d'extensions sauf si elles proviennent de sources fiables, n'ont pas besoin de beaucoup, beaucoup d'autorisations et sont vraiment nécessaires. L'installation de tout ce que vous pensez être cool finira par compromettre votre sécurité.

9
ThoriumBR